公司局域网静态分配的IP,如何解决盗用别人IP的行为?成功后追加高分!
公司局域网内是静态分配的IP,有的IP能上互联网,有的IP只能上公司的局域网。现在经常出现改别人IP地址上网的情况,导致局域网内IP冲突不断。公司内部划有多个VLAN思科...
公司局域网内是静态分配的IP,有的IP能上互联网,有的IP只能上公司的局域网。
现在经常出现改别人IP地址上网的情况,导致局域网内IP冲突不断。
公司内部划有多个VLAN
思科PIX525防火墙,4510R三层交换机
能否采用MAC地址和IP地址绑定的办法?具体如何操作?或有什么更好的办法?
最终想达到的目的:每个人只能用自己分配到的IP,就算是改了别人的能上互联网的地址,也上不了网。
请高手指点。成功后追加高分!
TO sony7733:
如何封IP?从哪入手?
TO rubinsion:
改IP当然是改同一个VALAN里的IP了。像192.168.1.*,里面不是有N多地址可以改吗?如果192.16.1.1能上互联网,这时1.1又恰好没开机,这时别人改为这个地址不就可以上网了?这时1.1的人来了,一开机就冲突了。
然后就有投诉电话打IT部门这里来了。。。(改的IP,肯定是同一个网段的了。)
要解决的就是这个问题。 展开
现在经常出现改别人IP地址上网的情况,导致局域网内IP冲突不断。
公司内部划有多个VLAN
思科PIX525防火墙,4510R三层交换机
能否采用MAC地址和IP地址绑定的办法?具体如何操作?或有什么更好的办法?
最终想达到的目的:每个人只能用自己分配到的IP,就算是改了别人的能上互联网的地址,也上不了网。
请高手指点。成功后追加高分!
TO sony7733:
如何封IP?从哪入手?
TO rubinsion:
改IP当然是改同一个VALAN里的IP了。像192.168.1.*,里面不是有N多地址可以改吗?如果192.16.1.1能上互联网,这时1.1又恰好没开机,这时别人改为这个地址不就可以上网了?这时1.1的人来了,一开机就冲突了。
然后就有投诉电话打IT部门这里来了。。。(改的IP,肯定是同一个网段的了。)
要解决的就是这个问题。 展开
5个回答
展开全部
不知道你想要表达什么!既然已经划分VLAN了,并把端口分配给了各VLAN,那么就不可能出现改IP就能跨VLAN的问题,除非改了IP并插到属于允许上网的VLAN端口上。现在唯一的问题就是员工是否会把他的电脑插在允许上网的端口上,限制这一违规做法只能通过公司政策限制,2层交换机端口属于2层端口且只能根据MAC过滤流量,所以在接入层交换机上至少要配置端口安全。但随之而来的问题,MAC是可以通过软件更改的。即使在接入层采用了3层交换机并配置了端口+mac+ip绑定,但对于修改了合法MAC和合法IP地址并插入到合法端口上的用户,就无能为力了。
对于此问题解决办法是:
在边界路由器上配置动态ACL,并在LAN内设置AAA服务器以对允许接入internet的合法用户实施身份验证。
ps:其实对于有点网络知识的人来说,在3层交换机上配置端口+mac+ip的绑定一点意义都没有,对防范局域网内arp攻击还有点用,建议不采取这种处理方法
你的意思是同一VLAN内要分配不同权限,是吧?那么最简单的办法是用ACL限制并精确到每个用户,不过如果是个很大的网络那么这是个巨大的工程量。tonymam说的域策略也是可以的,不过要有个专门的服务器来做主域控制并给不同的域内用户做权限设置,这也是个很大的工程量。因为你要给每个用户设置权限,而且以后每个用户都要先用自己权限的帐户登陆了计算机才行。总之要精确控制到每个用户是项很麻烦的事情。呵呵,不管那种方法都是个巨大的工程量。如果你公司有上千台主机那么做域策略不是一俩个人能独立完成的。各有利弊吧。我说的AAA服务器认证也需要给用户建立一个用户数据库,这样合法用户需要登陆internet时才需要用用户帐号和密码。tonymam说的域策略也需要在主域控制服务器建立一个数据库并给不同权限的用户分配不同的帐号和密码。这些方法都无法防止出现IP冲突的问题。
以上说的基本是废话。
最后给你个建议,既简单又可以防止IP冲突。
1.在小区域内比如经常发生盗用IP的VLAN,采用端口+MAC+IP绑定.
2.这个区域内做DHCP动态分配IP,并在配置DHCP安全,绑定MAC和ip
这样做基本可以防止IP冲突的问题,因为动态分配的情况下只有合法的MAC才会分到合法的IP。如果员工擅自改MAC并修改IP那么第一条可以起到作用,只有固定端口才可以接受合法MAC和合法IP。对于到处乱跑占用别人插孔的人,我想公司能发现了吧? 这个方法很简单,基本一个人用不了多长时间就能完成。
对于此问题解决办法是:
在边界路由器上配置动态ACL,并在LAN内设置AAA服务器以对允许接入internet的合法用户实施身份验证。
ps:其实对于有点网络知识的人来说,在3层交换机上配置端口+mac+ip的绑定一点意义都没有,对防范局域网内arp攻击还有点用,建议不采取这种处理方法
你的意思是同一VLAN内要分配不同权限,是吧?那么最简单的办法是用ACL限制并精确到每个用户,不过如果是个很大的网络那么这是个巨大的工程量。tonymam说的域策略也是可以的,不过要有个专门的服务器来做主域控制并给不同的域内用户做权限设置,这也是个很大的工程量。因为你要给每个用户设置权限,而且以后每个用户都要先用自己权限的帐户登陆了计算机才行。总之要精确控制到每个用户是项很麻烦的事情。呵呵,不管那种方法都是个巨大的工程量。如果你公司有上千台主机那么做域策略不是一俩个人能独立完成的。各有利弊吧。我说的AAA服务器认证也需要给用户建立一个用户数据库,这样合法用户需要登陆internet时才需要用用户帐号和密码。tonymam说的域策略也需要在主域控制服务器建立一个数据库并给不同权限的用户分配不同的帐号和密码。这些方法都无法防止出现IP冲突的问题。
以上说的基本是废话。
最后给你个建议,既简单又可以防止IP冲突。
1.在小区域内比如经常发生盗用IP的VLAN,采用端口+MAC+IP绑定.
2.这个区域内做DHCP动态分配IP,并在配置DHCP安全,绑定MAC和ip
这样做基本可以防止IP冲突的问题,因为动态分配的情况下只有合法的MAC才会分到合法的IP。如果员工擅自改MAC并修改IP那么第一条可以起到作用,只有固定端口才可以接受合法MAC和合法IP。对于到处乱跑占用别人插孔的人,我想公司能发现了吧? 这个方法很简单,基本一个人用不了多长时间就能完成。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
ipipgo
2023-11-29 广告
作为南京光年之内网络科技有限公司的工作人员,我推荐使用国外ip代理服务。这种服务可以提供全球纯净住宅IP资源,帮助您隐藏真实的IP地址,保护您的隐私和安全。同时,这些IP代理服务还可以帮助您绕过地区限制,访问被封锁的网站和在线服务。选择优质...
点击进入详情页
本回答由ipipgo提供
展开全部
你们IT部的经理是个软蛋,
可以想象你们IT部门是 服务员 型,每个IT每天要处处挨骂,夹着尾巴做人,
最简答的办法就是降权限,
什么VLAN MAC绑定都别扯淡,大不了下面的人员拔掉网线把IP改成网关的IP再插网线全瘫痪看你怎么查看你怎么办。
所有机器一律域控,域策略禁用一些什么P2P 类的进程启动,
用户就是USER 最多Pu 给他那么大权限难不成让他安装软件攻击我们啊
不服气就找那些级别低职位不重要的人先下手,然后干掉几个人杀鸡儆猴,
他连权限都没看他怎么搞。
最毒就是做一个 故障申报平台,通过内网申报的,大家都能看到的,比如有人冲突,找到MAC地址,定位是谁,就是WEB上说明由于哪个员工IP欺骗导致XX如何等,软件是看你们经理,经理牛则你们牛,经理软蛋则你们夹着尾巴做人。
可以想象你们IT部门是 服务员 型,每个IT每天要处处挨骂,夹着尾巴做人,
最简答的办法就是降权限,
什么VLAN MAC绑定都别扯淡,大不了下面的人员拔掉网线把IP改成网关的IP再插网线全瘫痪看你怎么查看你怎么办。
所有机器一律域控,域策略禁用一些什么P2P 类的进程启动,
用户就是USER 最多Pu 给他那么大权限难不成让他安装软件攻击我们啊
不服气就找那些级别低职位不重要的人先下手,然后干掉几个人杀鸡儆猴,
他连权限都没看他怎么搞。
最毒就是做一个 故障申报平台,通过内网申报的,大家都能看到的,比如有人冲突,找到MAC地址,定位是谁,就是WEB上说明由于哪个员工IP欺骗导致XX如何等,软件是看你们经理,经理牛则你们牛,经理软蛋则你们夹着尾巴做人。
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
就用VLAN呀,能上网的归一VLAN,不给上的归一VLAN,如果主机分散的就多分几个VLAN,每一VLAN都是不同的网段,就算他改ip,网关他不能改吧,改了网关就连内网都访问不了,我想这不算复杂。
补充:就说明你们网络原来的规划不太合理,要想简单易管,我想应该重新规划下。
像你说的:如果192.16.1.1能上互联网,这时1.1又恰好没开机,这时别人改为这个地址不就可以上网了?这时1.1的人来了,一开机就冲突了。
我想问下你们的网络,能上网和不能上网的是同一网段,这怎么管理,如果不同网段,那他改成192.16.1.1后还要拨网线插到1.0网段的网关,你们的网络有这么复杂吗?
补充:就说明你们网络原来的规划不太合理,要想简单易管,我想应该重新规划下。
像你说的:如果192.16.1.1能上互联网,这时1.1又恰好没开机,这时别人改为这个地址不就可以上网了?这时1.1的人来了,一开机就冲突了。
我想问下你们的网络,能上网和不能上网的是同一网段,这怎么管理,如果不同网段,那他改成192.16.1.1后还要拨网线插到1.0网段的网关,你们的网络有这么复杂吗?
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
限制上网直接在路由里面设置MAC地址限制
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
封了他们的IP更改权限,就搞定。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(3)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
